SMTP 列舉

• SMTP (Simple Mail Transfer Protocol) 是用來傳送電子郵件的協議。攻擊者可利用 SMTP 伺服器列舉技術來獲取有效的用戶名清單。
• 透過 SMTP 列舉，攻擊者可使用特定命令來檢測目標伺服器上的有效電子郵件帳號。

常見的 SMTP 列舉命令：

• VRFY：檢查電子郵件地址是否存在。
• EXPN：顯示郵件列表，列出實際收件人清單。
• RCPT TO：發送偽造郵件並獲得回應來確認用戶是否存在。

SMTP 列舉工具

• Metasploit：內建的 SMTP 列舉模組可用來驗證郵件地址。
• Nmap：通過腳本引擎進行 SMTP 列舉，收集有效的郵件用戶。

DNS 列舉

• DNS (Domain Name System) 是用來將域名轉換為 IP 地址的系統。透過 DNS 列舉，攻擊者可獲取目標組織的域名資訊、IP 地址、子域等。

DNS 列舉技術：

• DNS 區域轉移 (Zone Transfer)：攻擊者試圖從 DNS 伺服器獲取完整的 DNS 區域檔案，這可包含所有的子域、主機名稱和 IP 地址。
• DNS 快取窺探 (Cache Snooping)：透過檢查 DNS 快取來偵測目標伺服器是否解析過某些域名，了解它與哪些網路資源有互動。
• DNS 區域行走 (Zone Walking)：利用 DNSSEC 的機制嘗試逐步列舉所有的域名和資源記錄。

常見的 DNS 列舉工具：

• Dig：用來進行 DNS 查詢和區域轉移的命令行工具。
• dnsenum：一個可以進行 DNS 掃描和區域轉移的自動化工具，用來識別子域和其他 DNS 記錄。
• Fierce：專門用來進行 DNS 列舉的工具，能夠自動化掃描整個網段及識別潛在的 DNS 漏洞。

這些列舉技術對於攻擊者來說是至關重要的，因為它們能夠幫助攻擊者了解網路結構並識別潛在的攻擊入口。

使用 Nmap 進行 SMTP 列舉

攻擊者可以利用 Nmap 來從目標 SMTP 伺服器中列舉資訊，Nmap Scripting Engine (NSE) 提供了許多與 SMTP 相關的腳本來幫助進行這項操作。

1. 列出所有可用的 SMTP 命令

使用以下 Nmap 命令來列出目標 SMTP 伺服器上可用的所有 SMTP 命令：

nmap -p 25, 365, 587 --script=smtp-commands <Target IP Address>

此命令將掃描目標 IP 位址的端口 25、365 和 587，並列出可用的 SMTP 命令。

2. 識別 SMTP 開放轉送

要識別目標 SMTP 伺服器是否啟用了開放轉送，使用以下命令：

nmap -p 25 --script=smtp-open-relay <Target IP Address>

此命令將掃描端口 25，並檢查是否允許未經授權的郵件轉送。

3. 列舉 SMTP 用戶

要列舉目標 SMTP 伺服器上的所有郵件用戶，使用以下命令：

nmap -p 25 --script=smtp-enum-users <Target IP Address>

此命令將透過查詢 SMTP 伺服器來列出所有已註冊的郵件用戶。

使用 Metasploit 進行 SMTP 列舉

Metasploit 是一個強大的滲透測試框架，其中包含許多用於 SMTP 列舉的模組，幫助攻擊者獲取有關 SMTP 伺服器和使用者的資訊。

1. 使用 auxiliary/scanner/smtp/smtp_version 模組進行 SMTP 版本列舉

此模組用於獲取目標 SMTP 伺服器的版本資訊，幫助攻擊者了解伺服器的潛在漏洞。

use auxiliary/scanner/smtp/smtp_version
set RHOSTS <Target IP Address>
set RPORT 25
run

該命令會掃描目標 IP 上的 25 端口並列出 SMTP 伺服器的版本資訊。

2. 使用 auxiliary/scanner/smtp/smtp_enum 模組進行用戶列舉

此模組嘗試通過不同的 SMTP 命令，如 VRFY、EXPN 和 RCPT，來列舉伺服器上的有效電子郵件用戶。

use auxiliary/scanner/smtp/smtp_enum
set RHOSTS <Target IP Address>
set RPORT 25
set USER_FILE /path/to/userlist.txt
run

此命令會使用一個用戶名列表來測試伺服器上有效的郵件用戶。

3. 使用 auxiliary/scanner/smtp/smtp_relay 模組檢查開放轉送

此模組可以檢測目標 SMTP 伺服器是否允許開放轉送，這可能會被攻擊者用來發送垃圾郵件。

use auxiliary/scanner/smtp/smtp_relay
set RHOSTS <Target IP Address>
set RPORT 25
run

此命令會檢查是否允許在伺服器上轉發郵件，而不需要進行身份驗證。

SMTP 列舉工具

1.NetScan Tools Pro

• 功能：這是一個用於測試通過 SMTP 伺服器發送電子郵件過程的工具。特別適合在安全檢測中模擬和測試 SMTP 通信。
• 應用：可用於檢測目標伺服器是否存在開放的 SMTP 轉發或其他漏洞。

2. smtp-user-enum

• 功能：這是一款用於列舉 Solaris 系統上 OS 級用戶帳戶的工具，通過檢查 SMTP 服務器（如 Sendmail）對 VRFY、EXPN 和 RCPT TO 命令的響應來實現。
• 應用：攻擊者可以利用這些命令來確認郵件伺服器上是否存在有效的郵件用戶帳號。

DNS 列舉使用區域傳送

是一種通過查詢 DNS 伺服器，從其獲取完整區域檔案（包括所有的 DNS 記錄）的技術，這對於攻擊者來說非常有用，可以揭示大量的網路基礎設施資訊。

dig Command

• 介紹：dig（Domain Information Groper）是一個用於查詢 DNS 伺服器的命令行工具，它可以執行區域傳送來檢查 DNS 記錄。這對於管理員來說是診斷 DNS 問題的重要工具，但也被攻擊者用於 DNS 列舉。

• 範例：可以使用以下命令進行區域傳送：

  dig axfr <domain> @<DNS Server>
  

  其中 axfr 代表 DNS 區域傳送，<domain> 是目標域名，<DNS Server> 是域名伺服器的 IP 地址。

nslookup Command

來源: Microsoft Docs

攻擊者使用 Windows 系統中的 nslookup 命令來查詢 DNS 名稱伺服器，以檢索有關目標主機地址、名稱伺服器、郵件交換記錄等資訊。此命令有助於攻擊者執行 DNS 區域傳送，從而獲取目標域的完整 DNS 記錄。

1. 查詢 SOA 記錄:

   nslookup set querytype=soa <target domain>
   

   • 此命令將查詢類型設定為 Start of Authority (SOA) 記錄，從而檢索有關目標域 (如 certifiedhacker.com) 的 DNS 區域的管理資訊。

2. 嘗試區域傳送:

   ls -d <domain of name server>
   

   • 此命令用於嘗試傳送指定名稱伺服器的區域，獲取其 DNS 記錄。

DNSRecon

DNSRecon 是一個用於檢查目標域的所有名稱伺服器記錄的工具，並測試它們是否允許區域傳送。攻擊者使用此工具來進行 DNS 區域傳送，以列舉網路基礎設施的詳細資訊。

1. 進行 DNS 區域傳送:

   dnsrecon -t axfr -d <target domain>
   

   • t 選項指定要執行的列舉類型，axfr 用於測試所有 NS 伺服器是否允許區域傳送，d 選項指定目標域。

DNS Cache Snooping

介紹:
DNS 快取偵查是一種 DNS 列舉技術，攻擊者透過向 DNS 伺服器查詢特定的快取 DNS 記錄來獲取資訊。攻擊者可以利用此技術了解 DNS 伺服器是否已經快取了某個 DNS 記錄，以此來判斷該站點是否經常被訪問或是否曾經被查詢。

Non-recursive Method (非遞迴查詢方法):

攻擊者發送一個非遞迴查詢，將查詢標頭中的 Recursion Desired (RD) 位設置為 0。這表明查詢是被接受的，但該站點並未被快取。

dig @<IP of DNS server> <Target domain> A +norecurse

Recursive Method (遞迴查詢方法):

攻擊者發送遞迴查詢來判斷 DNS 記錄在快取中的時間。如果 TTL 值較高，則說明該記錄並不在快取中，因為 DNS 伺服器必須進行查詢來獲取該記錄。

dig @<IP of DNS server> <Target domain> A +recurse

DNSSEC Zone Walking

介紹:
DNSSEC 區域漫遊是一種 DNS 列舉技術，攻擊者藉此嘗試獲取未正確配置的 DNS 伺服器內部記錄。如果 DNS 區域未正確配置，攻擊者可以通過這種技術獲取網路資訊，並進一步發動基於互聯網的攻擊。

攻擊者會使用工具如 LDNS 和 DNSRecon 來利用這一漏洞，列舉 DNS 區域內部記錄，並取得目標域名的網路資訊。

工具:

• LDNS: 用於列舉 DNS 記錄，展示出內部的 DNS 區域記錄檔案。
• DNSRecon: 用來執行 DNSSEC 區域漫遊，並列舉出內部的 DNS 資訊，協助進行進一步的網路攻擊。

DNS and DNSSEC 列舉使用 Nmap

DNS 列舉使用 Nmap

攻擊者利用 Nmap 掃描域名，並從目標主機中獲取子域名、記錄、IP 地址和其他有價值的信息。

• 列出目標主機上所有可用服務:

  ap --script=broadcast-dns-service-discovery <Target Domain>
  

• 取得與目標主機相關的所有子域名:

  nmap -T4 -p 53 --script dns-brute <Target Domain>
  

  該命令提供子域名列表及其 IP 地址。如果有通配符記錄，IPv4 地址會顯示為 A，IPv6 地址會顯示為 AAAA。

• 檢查目標伺服器是否啟用了 DNS 遞迴:

  nmap -Pn -sU -p 53 --script=dns-recursion 192.168.1.150
  

DNSSEC 列舉使用 Nmap

DNSSEC 為 DNS 查詢和回應提供安全保護。攻擊者使用 dns-nsec-enum.nse 或 dns-nsec3-enum.nse NSE 腳本來列舉域名及其子域名。

• 檢索與目標域名相關的子域名列表:

  nmap -sU -p 53 --script dns-nsec-enum --script-args dns-nsec-enum.domains=<Target Domain> <target>
  

IPsec 列舉簡介

IPsec 使用封裝安全載荷（ESP）、認證標頭（AH）以及網際網路金鑰交換（IKE）來保護虛擬私人網路（VPN）終端之間的通訊。大多數基於 IPsec 的 VPN 使用 網際網路安全協會和金鑰管理協議（ISAKMP） 來協商、修改和刪除安全協會（SA）以及在 VPN 環境中使用加密技術。

• 簡單的掃描 UDP 500 埠以檢測 ISAKMP 可以指出 VPN 閘道的存在。
• 攻擊者可以進一步使用如 ike-scan 這樣的工具，列舉敏感信息，包括加密和哈希算法、身份驗證類型、金鑰分配算法和 SA 的生命時長。

指令

1. Nmap 掃描 UDP 500 埠以檢測 ISAKMP:

   nmap -sU -p 500 10.10.10.10
   

2. 使用 ike-scan 掃描：

   ike-scan 10.10.10.10
   

這些指令可以幫助攻擊者發現與 IPsec VPN 閘道相關的信息。

VoIP 列舉簡介

VoIP（語音 IP 通訊）使用**會話初始協議（SIP）**來啟用基於 IP 網絡的語音和視頻通話。SIP 服務通常使用以下 UDP/TCP 埠：2000、2001、5060、5061。

VoIP 列舉可以提供敏感信息，例如：

• VoIP 閘道/服務器
• IP-PBX 系統
• 用戶代理 IP 地址
• 用戶分機等

這些信息可用於發動各種 VoIP 攻擊，如：

• 服務拒絕攻擊（DoS）
• 會話劫持
• 來電顯示欺騙
• 竊聽
• 網路電話垃圾郵件
• VoIP 網絡釣魚（Vishing）

指令

1. 使用 svmap 掃描 VoIP 設備：

   svmap 10.0.0.10
   

2. 使用 Metasploit 模組進行 VoIP 掃描：

   use auxiliary/scanner/sip/enumerator
   set RHOSTS 192.168.0.1/24
   run
   

這些指令可幫助攻擊者發現 VoIP 設備和服務，並可能利用這些設備發動進一步攻擊。

RPC 列舉簡介

遠程過程調用（RPC） 是一種技術，用於建立分佈式客戶端/服務器程序。RPC 允許客戶端和服務器在分佈式客戶端/服務器程序中進行通信。這是一種進程間通信機制，可以使不同進程之間進行數據交換。

RPC 的組成部分包括：

• 客戶端
• 服務器
• 端點
• 端點映射器
• 客戶端存根
• 服務器存根
• 以及各種依賴項。

RPC 通常使用 Portmapper 服務來監聽 TCP 和 UDP 端口 111，以檢測端點並提供當前正在監聽的 RPC 服務的詳細信息。攻擊者可以通過列舉 RPC 端點來識別可能存在漏洞的服務端口。

由於網絡安全設施（如防火牆）的保護，RPC 通常會被過濾，因此攻擊者通常會掃描較大的端口範圍來查找開放的 RPC 服務以進行攻擊。

Nmap RPC 列舉指令

1. 基本 RPC 掃描指令：

   nmap -sR <target IP/network>
   

2. 高級掃描指令，提供詳細的服務和操作系統檢測：

   nmap -T4 -A <target IP/network>
   

Unix/Linux 用戶列舉的工具與指令

1. rusers

• 功能：顯示登錄到遠程機器或本地網絡上的機器的用戶列表。

• 指令語法：

  usr/bin/rusers [-a] [-l] [-u] [-h] [-i] [Host ...]
  

2. rwho

• 功能：顯示登錄到本地網絡上的主機的用戶列表。

• 指令語法：

  rwho [-a]
  

3. finger

• 功能：顯示系統用戶的相關信息，包括登錄名、真實姓名、終端名稱、閒置時間、登錄時間、辦公室位置和辦公室電話號碼等。

• 指令語法：

  finger [-l] [-m] [-p] [-s] [user ...] [user@host ...]
  

這些工具與指令用於在 Unix/Linux 系統中進行用戶列舉，幫助攻擊者獲取有關系統上用戶的信息，從而找到進一步攻擊的機會。

1. Telnet 列舉

• 功能：如果發現 Telnet 端口開放，攻擊者可以訪問共享的信息，包括硬件和軟件的相關資訊。
• 特點：Telnet 列舉允許攻擊者利用已知的漏洞，進行暴力破解攻擊，獲取未經授權的訪問權限並進一步展開攻擊。

2. SMB 列舉

• 功能：攻擊者使用 Nmap、SMBMap、enum4linux 和 nullinux 等 SMB 列舉工具，針對運行於端口 445 上的 SMB 服務進行定向掃描。
• 特點：SMB 列舉有助於攻擊者在目標系統上進行操作系統橫幅抓取 (OS Banner Grabbing)。

指令：

• nmap -p 23 <Target IP>：掃描 Telnet 服務。
• nmap -p 445 -A <Target IP>：掃描 SMB 服務並進行版本列舉。

3. FTP 列舉

• FTP 的風險：FTP 在發送方和接收方之間以明文傳輸數據，這可能導致敏感信息（如用戶名和密碼）暴露給攻擊者。
• 功能：攻擊者可以使用 Nmap 掃描並列舉端口 21 上運行的 FTP 服務，並利用這些資訊發動各種攻擊，如 FTP 反彈攻擊、FTP 暴力破解攻擊和數據包嗅探。

使用以下指令進行 FTP 掃描：

• nmap -p 21 <Target IP>：掃描目標 FTP 服務。

4. TFTP 列舉

• 功能：攻擊者通過使用工具如 PortQry 和 Nmap，來提取運行中的 TFTP 服務以及存儲在遠程服務器上的文件。
• 風險：利用這些信息，攻擊者可以未經授權地訪問目標系統，竊取重要文件，甚至上傳惡意腳本進行進一步攻擊。

5. IPv6 列舉

• IPv6 是一種尋址協議，負責為計算機系統提供身份識別，還包括位置資訊，幫助在網路中從一個系統到另一個系統進行路由流量。
• 攻擊者使用各種工具對目標主機進行 IPv6 列舉，從而獲取其 IPv6 地址，並對這些列舉出的 IP 地址進行掃描，檢測各種安全問題。

使用的工具

• Enyx：這是一個專門的 IPv6 列舉工具，攻擊者可以利用它來抓取目標系統的 IPv6 地址。
• IPv6 Hackit：另一個用於 IPv6 列舉的工具，允許攻擊者檢測和抓取目標網路中的 IPv6 地址，以查找可能存在的安全漏洞。

6. BGP（Border Gateway Protocol）列舉：

BGP的功能

• BGP 是一種路由協議，用於在網際網路上不同的自治系統（AS）之間交換路由和可達性資訊。
• 攻擊者利用 BGP 列舉技術，可以發現目標 AS 號和路由前綴，以了解目標的網路拓撲及路由資訊。

使用的工具

• 攻擊者可以使用工具如 Nmap 和 BGP Toolkit 來進行 BGP 列舉，獲取 IPv4 前綴和目標的路由路徑。
  • 使用 Nmap 掃描開放的 BGP 端口（TCP 179）的指令

    nmap -p 179 --script=broadcast-bgp <Target IP Address>
  

潛在的攻擊

• 利用 BGP 列舉獲得的資訊，攻擊者可以進行各種攻擊，如：
  • 中間人攻擊
  • BGP 劫持攻擊
  • DoS 攻擊